Detener la enumeración de usuarios.

Descripción

Stop User Enumeration es un plugin diseñado para detectar y prevenir que los hackers escaneen su sitio para los nombres de usuarios.

User Enumeration is a type of attack where nefarious parties can probe your website to discover your login name. This is often a pre-cursor to brute-force password attacks. Stop User Enumeration helps block this initial attack and allows you to log IPs launching these attacks to block further attacks in the future.

Herramientas como WPSCAN están diseñadas para el uso de los hackers éticos y se esfuerzan por encontrar los nombres de inicio de sesión de los usuarios. Los hackers éticos piden permiso primero, este plugin esta diseñado para reducir las herramientas cuando se usan sin permiso y cuando se usan en conjunto con fail2ban pueden bloquear esos intentos en el cortafuegos (Firewall)

Si estas en una VPS o en un servidor dedicado, a medida que se registra la IP del ataque, puedes usar (configuracion opcional adicional) fail2ban para bloquear el ataque directamente en el cortafuegos de tu servidor, una potente solucion para los dueños de VPS para detener ataques de fuerza bruta y tambien ataques DDoS (Denegación de servicio)

Si no tienes acceso a instalar fail2ban (ej. en un host compartido) puedes seguir usando este plugin.

El plugin puede detener el id de un usuario filtrado por la oEmbed API call.

Since WordPress 4.5 user data can also be obtained by API calls without logging in, this is a WordPress feature, but if you don’t need it to get user data, this
plugin will restrict and log that too.

Since WordPress 5.5 sitemaps are generated by core WP ( wp-sitemap.xml ) which includes a user/author sitemap that exposes the user id. You can enable / disable this in the plugin settings.

Compatible con PHP 8.0

Probado en PHP 8

Características incluidas

  • Bloquea la solicitud de enumeración de usuaros por GET o ENTRADA
  • Registra en el sistema un bloque, asi que Fail2Ban puede ser usado para bloquear una ip
  • Opcionalmente bloquea las solicitudes REST API de usuarios no autorizados
  • Opcionalmente elimina el mapa del sitio del autor
  • Opcionalmente elimina el autor del OEMBED
  • Opcionalmente elimina los números de los comentarios de los autores

Instalación

Este sector describe como instalar un plugin y hacer que funcione

Ya sea usando el escritorio ‘Añadir un plugin’ característica para encontrar, instalar y activar el plugin o
1. Descarga el plugin desde el enlace de descarga
2. Sube entero la carpeta de stop-user-enumeration a tu web /wp-contents/plugins/stop-user-enumeration usando un gestor de archivos o FTP
3. Activa el plugin desde el menú de plugins.

FAQ

It doesn’t seem to work!

Are you logged in? This plugin won’t do anything for logged in users, it only works when you are logged out. This is the way it is designed. A common mistake is to install the plugin and test it, while still logged in as admin.

Mi nombre de usuario todavía parece estar filtrado!

Los temas y los xml feeds van a incluir tu usuario ‘Nombre mostrado’. Si no quieres especificar ningun detalle del nombre o nick name (apodo), el ‘Nombre mostrado’ va a ser tu nombre de acceso por defecto. Asegúrate de que siempre NO es tu nombre de usuario o va a ser filtrado en múltiples sitios

Are there any settings?

Yes, but the default ones are fine for most cases

This doesn’t work with PHP 5.2!

Este plugin no es compatible con PHP 5.2. PHP 5.2 es muy antiguo y realmente necesita ordenar su alojamiento, ejecuta una versión del software que ya pasó el final de su vida útil compatible es un riesgo de seguridad.

Will it work on Multisite?

Si

Why don’t I just block with .htaccess

Una solución .htaccess es insuficiente por varias razones, pero la mayoría de entradas en el sujeto no cubre POST blocking, REST API bloquea y sin avisar bloquea el acceso del usuario administrador. Y no registres la ip en un cortafuegos, el mayor beneficio!

Does it break anything?

If a comment is left by someone just giving a number that comment would be forbidden, as it is assumed a hack attempt, but the plugin has a bit of code that strips out numbers from comment author namesa1
Also usernames containing numbers may not work in the front end.

Do I need fail2ban for this to work?

No, but fail2ban will allow you to block IP addresses at your VPS / Dedicated server firewall that attempt user enumeration.

What is the fail2ban config?

Un archivo de configuracion fail2ban, wordpress-usernum.conf se encuentra en el directorio de plugins stop-user-enumeration/fail2ban/filter.d

Por que necesita ir en el fail2ban jail.local?

Un ejemplo jail.local se encuentra en el directorio de plugins stop-user-enumeration/fail2ban

Reseñas

31 de enero de 2023
Until WordPress offers a way to disable the leaks in the core, I'll be installing this on all my new sites! It does what it says to and I've never had any conflicts with other plugins or nags to upgrade etc.
13 de enero de 2023 1 respuesta
Every WordPress website allows anyone to query the site and enumerate the users of the site. Once a hacker knows your usernames, they can try brute force attacks to try and crack these accounts. The Stop User Enumeration plugin prevents anonymous user enumeration on your web site. My website was getting dozens of lockouts per day on my user accounts due to brute force password attacks. Once I started using this plugin the number dropped to zero becuase the hackers had no idea who my user accounts were. I install this on every web site I build.
3 de enero de 2023 1 respuesta
Esse plugin faz parte do pack de segurança que sugiro implementar em todo site.

80

18 de diciembre de 2022 1 respuesta
خیلی عالی
Leer todas las 91 reseñas

Colaboradores y desarrolladores

«Detener la enumeración de usuarios.» es un software de código abierto. Las siguientes personas han colaborado con este plugin.

Colaboradores

«Detener la enumeración de usuarios.» ha sido traducido a 1 idioma local. Gracias a los traductores por sus contribuciones.

Traduce «Detener la enumeración de usuarios.» a tu idioma.

¿Interesado en el desarrollo?

Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

1.4.6

  • set default option early enough for multi site network wide activation

1.4.5

  • remove redundant CSS and fonts

Full Change History